信息來源：安全內(nèi)參

安全預算不斷增加，但是，錢去哪兒了？近期調(diào)查研究深入解析未來一年的CISO支出。

企業(yè)2022年網(wǎng)絡安全支出預計保持穩(wěn)定，因為研究表明，幾乎所有首席信息安全官（CISO）都將在新的一年迎來預算增長或持平，只有一小部分安全主管的預算會下降。

信息安全媒體CSO的《2021年安全重點研究》發(fā)現(xiàn)，44%的安全主管預期自己的預算在未來12個月內(nèi)將有所增長，而41%的受訪安全主管見證了自身2021年預算同比增長。54%的受訪安全主管預期自己未來12個月的預算將與去年保持一致。僅2%的受訪者預計預算會減少，相較于6%的受訪者見證了2021年安全開支相比2020年縮水，這一數(shù)字可謂小得多了。

安全預算同比增長

關于來年安全預算的趨勢，其他調(diào)查研究的結果大同小異。

普華永道《2022年全球數(shù)字信任洞察》報告顯示，“投資繼續(xù)涌入網(wǎng)絡安全領域”，69%的受訪企業(yè)預計其2022年的網(wǎng)絡支出將會增加。有些人甚至預計支出會激增，26%的受訪企業(yè)表示來年的網(wǎng)絡支出將激增10%或更多。

與此同時，科技市場研究與咨詢公司Gartner估計，2022年信息安全和風險管理的支出總額將達到1720億美元，高于2021年的1550億美元和前一年的1370億美元。

盡管資金狀態(tài)平穩(wěn)，CISO的手頭也不會太充裕。安全主管和執(zhí)行顧問表示，安全部門必須持續(xù)證明所花安全開支帶來了價值，培育了自身運營，并最終改善了企業(yè)的安全狀況。

普華永道網(wǎng)絡與隱私創(chuàng)新研究所負責人Joe Nocera稱：“企業(yè)知道風險每天都在增加，因此，持續(xù)向網(wǎng)絡安全砸錢。我們從業(yè)務主管那里了解到的是，他們愿意不惜一切代價避免因為黑客事件而登上新聞頭條，但不想多花一分不必要的錢，而且想要確保錢都花在了正確的地方。這就需要CEO和CISO通力合作了。CISO需要知道正確的防護級別是什么樣的。”

Nocera補充道：“網(wǎng)絡投資越來越不在于購買技術供應商的最新產(chǎn)品，而更多地在于首先了解業(yè)務防護最薄弱的地方，然后根據(jù)攻擊發(fā)生的概率以及業(yè)務損失的嚴重程度來確定安全投資的優(yōu)先級。”

推動預算的幾個趨勢

EPAM Systems首席信息安全官Sam Rehman表示，2022年的網(wǎng)絡安全預算反映了執(zhí)行團隊的其他成員和董事會對企業(yè)網(wǎng)絡安全計劃的興趣不斷增加。

普華永道的報告表明，“企業(yè)明白風險在不斷增加。超過50%的受訪者預計，相比2021年，明年可上報安全事件的數(shù)量將迎來激增。”

Rehman表示，攻擊增多只是許多企業(yè)增加安全支出的因素之一。他認為，高管同時也看到了數(shù)據(jù)泄露事件的重大影響。以及在匿名加密貨幣時代，攻擊貨幣化如此簡單，以致于攻擊者一直很有動力主動出擊。

Rehman稱：“這三個因素激化了網(wǎng)絡安全攻防戰(zhàn)。”

決定安全開支的因素

相對應的，企業(yè)領導現(xiàn)在想要知道自家公司正處在良好防護狀態(tài)下，而且自己足以響應攻擊：防護和彈性兩手都要硬。他們逐漸明白，沒有100%防御這樣的事情，但強大的防御可以贏得時間，可以在造成重大（甚至任何）損害之前，有時間進行檢測、響應和恢復。

Nocera補充道：“為了保護自身及客戶免遭網(wǎng)絡攻擊侵害，大多數(shù)企業(yè)都會大幅增加其網(wǎng)絡安全開支預算。”

與此同時，安全主管表示，除了高級管理層的同事和董事會成員之外，他們還感受到來自外部實體的成果交付壓力。他們會聽到來自客戶、業(yè)務合作伙伴和監(jiān)管機構說：安全也是我們的首要考慮。

作為KLC咨詢公司總裁的Kyle H. Lai同時也是三個中型公司的虛擬CISO，他指出，美國總統(tǒng)拜登于2021年5月簽署的強化美國網(wǎng)絡安全行政令，也是影響安全預算的一個因素。他還提到了美國聯(lián)邦政府和各州政府陸續(xù)頒布的多項消費者數(shù)據(jù)隱私法案和其他立法舉措，認為這些立法是影響CISO需要多少錢和怎么花錢的因素。

Lai表示：“對許多公司而言，這些[監(jiān)管和立法]動作非常重要，因為他們必須滿足這些要求，尤其是與聯(lián)邦政府和國防部合作的公司。”

調(diào)查結果支持上述觀察所得。

CSO的《安全重點研究》表明，49%的受訪安全主管將最佳實踐作為其安全支出的決定性因素，49%的受訪者還將合規(guī)、監(jiān)管或強制要求作為決定性因素：這兩個類別并列安全開支決定因素列表榜首。

其次是需要解決不斷變化的勞動力或業(yè)務動態(tài)（尤其是混合勞動力和遠程辦公）所帶來的逐漸演變的風險（41%）；解決遷移到云端等數(shù)字化轉型帶來的風險（38%）；響應部門內(nèi)部發(fā)生的安全事件（35%）；以及對其他部門發(fā)生的安全事件做出響應（25%）。

這些因素與未來幾個月CISO預計將資金投入哪些方面有關。

安全開支重點

CSO的調(diào)查顯示，支出分布在多個領域，其中20%投入本地基礎設施和硬件，19%用于技術人員，16%用來購買和維護本地工具與軟件——所有這些都為向企業(yè)交付安全服務奠定了基礎。

除此之外，還有基于云的安全解決方案（10%）、咨詢服務（7%）、基于云的安全監(jiān)測服務（7%）、安全意識培訓（7%）、外包評估服務（6%）和外部事件響應服務（5%）。

Gartner最近對信息安全和風險管理支出做出了預測，進一步詳細說明了資金的流向：2022年將有近770億美元流入安全服務，令安全服務成為迄今為止最大的支出類別；300億美元用于基礎設施保護；190億美元投入網(wǎng)絡安全設備；170億美元用于身份與訪問管理。

安全預算分配

將獲得大量預算的其他領域還包括應用安全（66億美元）、綜合風險管理（64億美元）、數(shù)據(jù)安全（40億美元）、軟件（27億美元）和云安全（14億美元）。

Gartner新興技術和趨勢高級總監(jiān)分析師Shawn Eftink表示，CISO支出可分為四大塊。

第一大塊用來支持與位置無關的安全，主要是創(chuàng)建網(wǎng)絡安全計劃，將身份視為需要保護的事實邊界。

第二大塊用于支持安全部門的發(fā)展。Eftink表示，隨著董事會引入更多具有網(wǎng)絡安全經(jīng)驗的董事，安全部門正面臨越來越嚴格的審查；這些董事會成員希望看到安全部門的效能提升和明顯成熟，而降低安全產(chǎn)品的復雜性是實現(xiàn)這些期望的關鍵。

第三塊預算面向不斷發(fā)展的技術：漏洞和攻擊模擬工具等逐漸成熟的新興技術，以及保護企業(yè)不斷延伸的云環(huán)境所需的那些技術。

第四塊預算用于外包，也就是幫助提高安全運營效率和應對內(nèi)部人員配備挑戰(zhàn)的開支。

新投入零信任和增加云數(shù)據(jù)保護開支

其他安全主管的觀察所得與之類似。他們表示，CISO計劃投資訪問與身份管理軟件、基于角色的訪問控制（RBAC）、用戶行為分析和微分隔等身份驗證技術，從而支持不斷走向成熟的零信任架構。在云安全解決方案上投錢也是CISO的打算之一。他們預備購買自動化和分析攻擊，從而更高效地處理海量安全數(shù)據(jù)，也計劃引入托管安全服務提供商（MSSP），增強自家員工的工作。

Nocera稱：“身份與訪問管理、第三方風險管理、實時情報和零信任都是安全投資的重點領域。”

預算花在刀刃上

普華永道第24期《年度全球CEO調(diào)查》中，受訪CEO將網(wǎng)絡威脅票選為商業(yè)前景的第二大風險，僅次于疫情和其他健康危機。北美和西歐的CEO則將網(wǎng)絡威脅列為第一大風險。

但與此同時，專家表示，CEO不愿意給CISO許諾無限資金支持。安全主管的2022年預算反映出了這一現(xiàn)實。

專家認為，這么做也是情有可原的。

Eftink分享了這一行的普遍想法：“開支并不一定等同于安全?！?

事實上，CISO可以預期自己將不得不繼續(xù)提高效率，在預算持平或微量增加的條件下產(chǎn)出更高安全效能。要做到這一點，他們將不得不繼續(xù)安全左移，從一開始就將安全嵌入到驅(qū)動業(yè)務的運營流程和數(shù)字產(chǎn)品中，并將安全融入公司的架構中。

Eftink表示：“必須轉變思維：應當嵌入安全，而不是將安全當作事后才想起來的補救措施。一定得轉變范式。”

Nocera對此表示同意。

他說：“在分配資金解決這些問題的同時，公司還需要設立集成進整個組織架構的安全體系，將網(wǎng)絡安全變成每個人的責任，而不僅僅是CISO或IT團隊的職責。最終，強大的全公司網(wǎng)絡安全運營可以在公司、利益相關者和消費者之間建立信任，成為競爭優(yōu)勢。公司當下為強化自身系統(tǒng)而面臨的開支，應該被視為對未來商業(yè)模式的投資?！?